Home » Archive

Artikel mit Tag: Schwachstelle

[17 Jan 2013 | Kein Kommentar | Autor: Jürgen (jdo) ]
Java: Neuer 0-Day-Exploit – für 5000 US-Dollar verkauft

Brian Krebs berichtet von einer weitere 0-Day-Sicherheitslücke in Oracles Java, die nur 24 Stunden nach Java 7 Update 11 aufgetaucht ist. Darin wurde eine Sicherheitslücke geschlossen, mit dem man einen Windows-Rechner unter seine Kontrolle bringen konnte. Allerdings fehlt derzeit noch jede Bestätigung, ob die Lücke auch echt ist und was sie tut. In einem exklusiven Cybercrime-Forum soll der Finder den Exploit an 2 Personen für je 5000 US-Dollar verkauft haben (mehr Leute bekommen die Code nicht und es ist wohl […]

[30 Nov 2012 | Ein Kommentar | Autor: Jürgen (jdo) ]
Chrome-Bug: Google zahlt LEET-Geld :)

Es gabe erst vor wenigen Tagen eine neue Chrome-Version. Nun hat Google wegen zwei als hoch eingestuften Sicherheitslücken gleich noch einmal nachgelegt – für Linux, Mac OS X, Windows und die Chrome-Plattform. Ein Fehler (161564 CVE-2012-5138) hängt mit der flaschen Behandlung von Pfaden zusammen. Die zweite Sicherheitslücke (162835 CVE-2012-5137) ist ein Use-after-free bei Medien-Quellen. Für das melden dieses Sichereheitsproblems hat Google 7331 US-Dollar (LEET) springen lassen. Der Finder, Pinkie Pie, hat nach eigenen Angaben auch die Aufgabe 64-Bit-Exploit erfüllt. Bei mir hat […]

[27 Nov 2012 | Kein Kommentar | Autor: Jürgen (jdo) ]
Google Chrome 23.0.1271.91 bessert Sicherheitslücken aus

Das Chrome-Team hat eine neue stabile Version für Linux, Mac OS X und Windows zur Verfügung gestellt. Darin sind einige Fehler und Sicherheitslücken ausgebessert. Insgesamt hat Google 2500 US-Dollar Kopfgeld für gemeldete Schwachstellen spendiert. Wenn die Lautsprecher-Konfiguration auf Quadraphonic gestellt war, funktioniert in Flash kein Ton. Die Entwickler haben sieben Sicherheitslücken ausgemerzt. Drei davon sind als hoch, drei als mittel und eine als niedrig eingestuft. Ein mit 1000 US-Dollar dotierter und als hoch eingestellter Fehler betrifft lediglich Mac OS X in […]

[9 Nov 2012 | Kein Kommentar | Autor: Jürgen (jdo) ]
Mögliche Sicherheitslücke in TOR gefunden

Entwickler Andrey Karpov hat eine Sicherheitslücke in der Anonymisierungs-Software TOR (The Onion Router) gefunden. Das Problem ist die Funktion memset(). Es handelt sich hier um einen Schutzmechanismus, der nicht mehr benutzten Puffer aufräumt und löscht. Diese Buffer können Passwörter, IP-Adressen und andere Anwenderdaten enthalten. Zerstört man diese Daten nicht, könnten sie ins Internet gesendet werden. Den TOR-Entwicklern ist diese Gefahr natürlich bekannt und sie versuchen, die Buffer-Inhalte mittels der oben genannten Funktion zu löschen. Dies sei aber ein großer Fehler, […]

[23 Sep 2012 | Kein Kommentar | Autor: Jürgen (jdo) ]
Kernel-Update für Ubuntu 12.04 bessert Sicherheitslücken aus

Canonical hat eine Sicherheits-Anweisung ausgegeben, die Sicherheitslücken im Kernel von Ubuntu 12.04 LTS „Precise Pangolin“ behandelt. Die Probleme betreffen auch alle Derivate der Distribution. Als Desktop-Anwender wird einen das weniger stören, denn man bekommt in der Regel automatische Updates. Wer einen Server betreibt und manuell aktualisiert, sollte sich die Anweisung mal zu Gemüte führen oder eben aktualisieren. Im Prinzip geht es um CVE-2012-3412 und CVE-2012-3430. Ersteres ist eine Schwachstelle im Zusammenhang mit TSO (TCP Segment Offload). Die Sicherheitslücke lässt sich von einem lokalen […]

[13 Sep 2012 | Kein Kommentar | Autor: Jürgen (jdo) ]
3500 US-Dollar Kopfgeld: Sieben Schwachstellen in Chrome für Android bereinigt

Google Chrome für Android wurde ein Update spendiert und der Browser ist nun als Version 18.0.1025308 zu haben (Google Play). Die Software ist kompatibel mit Android 4.0 (Ice Cream Sandwich) oder später. Die neueste Version besser insgesamt 7 Sicherheitslücken aus, die alle mit einem Kopfgeld von 500 US-Dollar dotiert wurden. Alle Lücken sind als Medium eingestuft. [$500] [138210] Medium Information and credential disclosure by file:// URLs. Credit to Artem Chaykin. [$500] [138035] Medium Current-tab cross-application scripting (UXSS). Credit to Artem Chaykin. [$500] [144813] Medium UXSS via Intent extra data. Credit […]

[1 Sep 2012 | Ein Kommentar | Autor: Jürgen (jdo) ]
Nach Java-7-Patch gleich neue Sicherheitslücke gefunden

Das muss ja ein Schlag ins Gesicht sein. Über die kürzlich gefundene Java-Lücke (0-Day, die auch schön ausgenutzt wurde) will ich mich gar nicht auslassen, das wurde überall breit getreten und Oracle hat bereits einen Patch zur Verfügung gestellt (Java 7 Update 7). Laut pcworld.com hat die in Polen ansässige Sicherheitsfirma Security Explorations nun angeblich eine neue Schwachstelle gefunden. Den Sicherheits-Experten zufolge lässt sich die neue Lücke ausnutzen, aus der Java-Sandbox auszubrechen. Danach kann ein Angreifer beliebigen Code auf dem darunterliegenden […]

[22 Aug 2012 | Kein Kommentar | Autor: Jürgen (jdo) ]
Google Chrome 21 mit drei unterschiedlichen Versionen für Linux, Mac OS X und Windows | Update für Chrome OS

Die Entwickler des Browsers Chrome haben den stabilen Kanal aktualisiert. Interessant dabei ist, dass es für Linux, Mac OS X und Windows drei verschiedene Builds gibt: 21.0.1180.81 für Linux und 21.0.1180.83 für Windows. Für Mac OS X wurden Chrome Frame und die Kanäle Stable und Beta laut eigener Aussage auf Version 21.0.1180.82 aktualisiert. Sicherheits-Updates sind diesmal keine vorhanden, allerdinge löst die neueste Ausgabe diverse Fehler. Ddas doppelseitige Drucken steht nun nicht mehr auf „Ja“. Chrome hatte selbst für eine Seite eine […]

[27 Jun 2012 | Kein Kommentar | Autor: Jürgen (jdo) ]
20 Lücken ausgebessert: Chrome 20 für Linux, Mac OS X und Windows

Nomen ist Omen? 20 Lücken in Chrome 20 (20.0.1132.43) ausgebessert, passt irgendwie zusammen. Google hat sich den Spaß im Rahmen des Kopfgeldprogramms insgesamt 8000 US-Dollar kosten lassen. 5000 davon gehen an den mittlerweilen bekannten Chrome-Hacker miaubiz. 13 der Sicherheitslücken sind als hoch eingestuft, 4 als medium und 3 als niedrig. Ansonsten tut sich nicht viel. Es gibt lediglich Updates zur JavaScript Engine V8 (3.10.8.18) So weit zum Browser. Google hat aber weitere 3500 US-Dollar für Bereiche ausgeschüttet, die über Chrome […]

[12 Apr 2012 | 2 Kommentare | Autor: Jürgen (jdo) ]
295.40: Sicherheitslücke in NVIDIA-Treiber für Linux/UNIX geschlossen

NVIDIA warnt vor einer Sicherheitslücke (CVE-2012-0946), die sich im Linux-/UNIX-Treiber befindet. Die Schwachstelle wurde am 20. März 2012 privat an NVIDIA gemeldet. Ein Angreifer, der Lese- und Schreibzugriff auf die GPU hat, könnte sich Zugriff auf den Arbeitsspeicher des Systems verschaffen. Derzeit ist kein Fall bekannt, wo die Sicherheitslücke aktiv ausgenutzt wird. Die Standard-Rechte auf den GPU Device Nodes erlauben allen Anwendern Lese- und Schreibrechte. Diese Rechte lassen sich konfigurieren. Allerdings brauchen Anwender diese, wenn Sie zum Beispiel Applikationen mit GLX […]

Air VPN - The air to breathe the real Internet